MySQL 的安全配置升级是保障数据库系统稳定运行和数据安全的关键步骤。随着攻击手段不断演进,默认配置往往不足以应对风险。以下是一些关键操作,帮助你提升 MySQL 的安全性。
1. 禁用远程 root 登录
root 账户拥有最高权限,允许其从任意主机登录会带来极大风险。
建议操作: 检查 root 用户的 host 字段,确保只允许本地访问(如 'root@localhost') 执行 SQL 查询:SELECT User, Host FROM mysql.user WHERE User = 'root';删除非必要的远程 root 账户:
DROP USER 'root'@'%';刷新权限:
FLUSH PRIVILEGES;
2. 使用强密码策略
弱密码容易被暴力破解或字典攻击。
建议操作: 启用 MySQL 的密码验证插件(validate_password) 安装插件命令:INSTALL PLUGIN validate_password SONAME 'validate_password.so';设置密码强度等级,例如:
SET GLOBAL validate_password.policy = MEDIUM;强制所有用户使用符合策略的密码,定期更换
3. 删除匿名账户和测试数据库
默认安装可能包含匿名用户或 test 数据库,这些是常见攻击入口。
建议操作: 查看是否存在匿名用户:SELECT User, Host FROM mysql.user WHERE User = '';删除匿名账户:
DROP USER ''@'localhost'; DROP USER ''@'%';移除测试数据库:
DROP DATABASE IF EXISTS test;确保 my.cnf 配置中添加
skip-test-db或启动时禁用
4. 最小化权限分配
遵循最小权限原则,避免给应用账户赋予不必要的高权限。
建议操作: 为每个应用创建独立账户,并限制其访问特定数据库 授予权限时避免使用 GRANT ALL,仅赋予所需权限,如 SELECT、INSERT、UPDATE 限制登录主机,例如:GRANT SELECT ON db.* TO 'appuser'@'192.168.1.10';定期审计用户权限,回收不再需要的权限
5. 启用日志审计与监控
记录登录行为和敏感操作有助于发现异常活动。
建议操作: 开启通用查询日志(general_log)用于调试(生产环境谨慎启用) 启用慢查询日志分析性能瓶颈 使用企业版或社区工具(如 Percona Audit Log Plugin)实现审计功能 将日志集中存储并设置告警规则6. 更新版本并打补丁
旧版本可能存在已知漏洞。
建议操作: 定期检查官方发布的安全公告 将 MySQL 升级到受支持的稳定版本(推荐 8.0 或更高) 更新操作系统和其他依赖组件 测试环境中验证升级兼容性后再上线7. 配置文件权限加固
配置文件泄露可能导致密码暴露。
建议操作: 确保 my.cnf 权限为 600(仅属主可读写) 避免在配置中明文存储密码,使用 mysql_config_editor 加密存储 限制 mysqld 进程运行用户为专用低权限账户(如 mysql)基本上就这些。安全不是一劳永逸的事,需要持续关注和调整。定期审查账户、权限和日志,结合防火墙、SSL 加密等措施,才能构建更完整的防护体系。
